|
[求助]内核层如何检查进程是否已经结束?(已解决,感谢大佬)
BOOLEAN BBCheckProcessTermination( PEPROCESS pProcess ) { LARGE_INTEGER zeroTime = { 0 }; return KeWaitForSingleObject( pProcess, Executive, KernelMode, FALSE, &zeroTime ) == STATUS_WAIT_0; } ---blackbone |
|
|
|
|
|
[原创]某6789安全卫士核心功能之InfinityHook (抄,我疯狂的抄)
好几个大佬都走了. |
|
[求助]Windows7下DebugView不显示调试信息
#define DPRINT(format, ...) DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, format, __VA_ARGS__) |
|
新人求助,windbg双机调试怎么让R3的进程创建中断
远程线程? 那就自己看吧 这是线程创建流程 CreateThread(包括远程线程)->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpInitialize->ntdll!->ntdll!_LdrpInitialize->ntdll!LdrpInitializeThread->如果exe有Tls call LdrpCallTlsInitializers(2, LdrpImageEntry)没有忽略->ntdll!LdrpCallInitRoutine通知其它dll线程创建->ZwContrine->内核恢复上下文重设新线程入口点为ntdll!RtlUserThreadStart 然后线程就跑起来了 ntdll!RtlUserThreadStart->kernel32!BaseThreadInitThunk->call UserThreadEntry->ntdll!RtlExitUserThread->ntdll!ZwTerminateThread |
|
新人求助,windbg双机调试怎么让R3的进程创建中断
.process /p eprocess 然后bp /p eprocess ntdll!NtCreateThread |
|
新人求助,windbg双机调试怎么让R3的进程创建中断
bp nt!NtCreateProcessEx |
|
|
|
内核态 RW primitives+WWW任意地址读写+r3执行r0指令
好像在哪见过,r3执行内核代码,好像有个什么保护,是受xx保护的,忘记了. 之前那个cxxmon,是因为它本身就关闭了那个保护,老了,啥都忘了. |
|
[求助]如何判断一个线程的状态
GetExitCodeThread ? 如果状态不是STILL_ACTIVE就是等待? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值